AWS SAP
A
S
A
A
A
A
A
A
A
ABCE
Amazon SESでは設定セット(Configuration sets)を使うことでメールの開封率などを調べることが可能
メトリクスはCloud Watch, Kinesis Firehose, SNSに送信することが可能
以前はできなかったが、2017年ごろに可能になった
Aa
VPCフローログは送信元IPアドレスや宛先、ポート番号などの基本的な情報しかないがVPCミラーリングで得られたパケットには通信に関する全ての情報がある
それをWireshark等のパケットキャプチャツールで解析すると通信をしているユーザなどの情報を検査できる
パケットの送信先はENIかNetwork loadBalancerのみ。CloudWatch Logsには送信できない
A
AWS Personal Health DashboardのAWS_EC2_PERSISTENT_INSTANCE_RETIREMENT_SCHEDULEDイベントは、EC2インスタンスがハードウェアの問題や老朽化などの理由で退役予定であることを示すアラート
このイベントのターゲットとしてAWS AutomationのAWS-RestartEC2Instanceを指定することで自動起動が可能
A
Amazon Inspectorにはエージェントが必ずしも必要ない(エージェントレススキャン)
ただ、ソフトウェアの脆弱性を詳細に検査するためにはAgentが必要
Aa
Dedicated Hostsのアフィニティオプションを利用することで、インスタンスが再起動したときも同じハードウェアマシン上で起動されるようになる
A
S3バケットのリクエスタ支払いを有効にすると、自動的にAWS認証とx-amz-request-payer:requesterをヘッダーに含めたリクエストが必須になる
つまり、バケットポリシーのConditionを追加する必要はない
A
KMSマスターキーのエクスポートはできない
素早く安全にデータベースのコピーを相手に渡すには、Aurora MySQLのスナップショットを作成してKMSのCMKをキーポリシーによって使えるようにする
A
A
DAXにはSaving Plansは存在しない
A
Elastic IPアドレスが利用できるAWSのサービスは、EC2, NATゲートウェイ、Network Load Balancerである
Aa
AWS SCT (Schema Conversion Tools)を使うことでデータウェアハウスからデータを抽出/変換しS3やSnowball Edgeに移行することができる
A
AWS Replication AgentはAWS Application Migration Serviceでも使える
AMSでテストインスタンスの起動も可能
C⭕️
C⭕️
Kinesisはマネージド→OSの管理が必要ない
B/C
Memchaedは暗号化やレプリケーションをサポートしていない
DCF/ADF
ENIにはMACアドレスも紐づいている
C⭕️
BC⭕️
DCE/BCD
B⭕️
CodepipelineでCodeBuildを実行して、コマンドの戻り値がエラーの場合はパイプラインが終了する
EDC/BDE
AWSとオンプレミスの安定な接続→Direct Connect Gateway
マネージドなVPN接続→AWSクライアントVPN
A/D
A/B
CART(AWS Cloud Adoption Readiness Tool)を利用することでAWS以降に必要な準備について適切な指標を出せる
D/C
Egress-Onlyインターネットゲートウェイはサブネットに作成するものではなくVPCにアタッチするものである
B/D
B⭕️
B/C
外部IDはIAMロールのARN登録ごとにランダムに作成する必要がある
C⭕️
B⭕️
B⭕️
D⭕️
A/B
追加の勉強が必要
C⭕️
Transit GatewayのVPN接続でEnable Accelerationを有効にするとGlobal Acceleratorを利用したVPNネットワークの高速化になる
ADE⭕️
C/B
SCPを利用するにはOrganizationsで全ての機能を有効化する必要がある
CDF/BCD
Firewall Managerで必須の機能→Organizationsで全ての機能を有効化すること、管理者アカウントの設定、Configを有効化すること
A/D
最小限の権限を設定するためにService Catalogを使える
D⭕️
Lambda関数に送信元Elastic IPアドレスを設定するには、NATゲートウェイ経由でアウトバンドリクエストを実行する必要がある
NAT Gatewayに適用したElastic IPアドレスを使う
D/C
KMSの顧客管理キーはローテーションが可能
パスワードのローテーションが必要な場合はシークレットマネージャーを利用する必要があるが、キーのローテーションならKMSでOK
A/C
AC⭕️
Cloud HSMでTDEプライマリ暗号化キーを使用するケースはRDSでサポートされていない。→EC2を利用する必要がある
D⭕️
B⭕️
B⭕️
Direct Connect Gatewayで複数リージョンのVPCにアタッチできる
CDE/BCE
SricataとはオープンソースのIDS
Sricata互換での検査をマネージドで提供するサービスはAWS Network Firewall
C/B
ABC⭕️
IAMロールを使うことでEC2のメタデータに一時的な認証情報が保存されますが、IMDSv2のみを使用することでサーとパーティ製のWAFの脆弱性に影響されにくい
C/A
Cloud Frontキーペアの作成はrootユーザーでなくてもできる
C⭕️
B⭕️
BD⭕️
B/C
ベストプラクティスは「自動化」
B/C
S3マルチパートアップロードでは不完全なパートが残りっぱなしになるとストレージ容量を逼迫してしまうため定期的に削除することが必要
D⭕️
BCE⭕️
B⭕️
ルートユーザーが使われたことの通知→Guard DutyのRootCredentialUsageイベント
D⭕️
Application Discovery Serviceで以降の判断や計画を立てることにも使える
B⭕️
D/C
AWS Outpostsとは自社のデータセンターやオンプレミス環境にAWSのサーバをラックごと設置するもの
住所がはっきりしている特定の場所にデータを保存しなければならない場合などに利用する
B⭕️
EMRではマスターノードとコアノードは中断されずに実行される必要がある
ABC/ACD
インプレミスのLinuxにEFSをマウントし、転送中のデータを暗号化する場合
amazon-efs-utilsをインストールして、マウントヘルパーコマンドで-o tlsオプションをつけてマウントする
マウントするとき、EFSファイルシステムIDを指定するので名前解決できる必要がある
D/B
わからん
CE/BC
RDS Proxyを利用する場合は、パスワード保存用のSecrets Managerが必要
RDS Proxyにとどいたリクエストの認証を行うためhttps://dev.classmethod.jp/articles/how-rdsproxy-uses-secrets-manager/
B/C
CloudFrontのフィールドレベル暗号化とは、CloudFrontでやり取りされる特定のフィールドのデータを暗号化するもの
特定のセンシティブな情報を暗号化する際に利用される
KMSキーなどで暗号化をすると、KMSキーが利用できる人ならその情報が見れてしまう
A/B
D/A
リアルタイム配信は、AWS Elemental MediaLiveとAWS Elemental MediaStoreとCloudFrontで実現可能
C/D
同じリージョン内のVPC同士を接続する場合→Transit Gateway
その後、各リージョンのTransit Gateway同士をピア接続する
D⭕️
BD/BE
OACはCloudFront経由に限定するだけで、アクセスもとの認証などを判断するものではない
A/C
EventBridgeを利用することでスポットインスタンスの中断などのAWSアカウント内のイベントと、外部SaaS製品のイベントを統合できる
C⭕️
DE/CE
D/C
勉強が必要Step Function 使う
追加で勉強すること
追加でまとめること
組織のネットワーク設計
VPCエンドポイントの利用
AWS PrivateLinkとVPCエンドポイントの違い
AWS クライアントVPN/AWS Site-toSite VPN/ソフトウェアVPNなどを使ったVPN構成
仮想プライベートゲートウェイとカスタマーゲートウェイ
AWS Direct Connect
VPCピア接続
AWS Transit Gateway
Direct ConnectとTransit Gateway
Route53プライベートホストゾーンとRoute53 Resolver
マルチアカウント戦略、ロール、ユーザ管理について
組織内でのクロスアカウントアクセス
サードパーティ製品へのアクセス許可と混乱した代理問題
AWS Directory Service
AWS Organization
AWS Service CatalogとAWS Resource Access Manager
AWS Control Tower
開発
Build spec.ymlとapp spec.yml
EC2インスタンス/ECS/Lambdaへのデプロイ戦略
CloudFormationのヘルパーリクエスト
AWS CodePipelineの使用例
AWS Elastic Beanstalkの使用例
モニタリング
AWS Healthイベント Personal Health
CloudWatchの利用例
VPCのモニタリング(VPC Flow Logsとトラフィックミラーリング)
AWS X-Ray
構成管理、メンテナンス
AWS Systems Managerの利用
AWS Config
S3のバッチオペレーション
セキュリティ
ルートユーザの保護
AWS KMS
Cloud HSMのユースケース
Secret Manager
Amazon Inspector
WAF, Shield, Network Firewall, Firewall Manager
GuardDuty, Macie, Security Hub, Detective
信頼性
災害対策のために
疎結合化による信頼性の改善
データベースのリクエスト改善
EC2 オートスケーリング
ファンアウト
AWS Service Quotasが必要になる場面
パフォーマンス
インスタンスタイプとかバーストとか
プレイスメントグループ
ストレージのパフォーマンス(S3,DynamoDB)
CloudFrontの利用
Global Accelerator
ElastiCache
RDS
Aurora
API Gateway
コスト最適
EC2のコスト
S3のコスト
DynamoDBのコスト
コストの可視化、予想
EC2→サーバレスへ
移行
7つのR
移行評価支援のサービス
データ、アプリケーションの移行サービス
AWS の活用例
ECS/EKS/Proton
App Runner
Kinesis
データレイク
SESを活用したメール送受信
Transfer Family
IPアドレスに依存した設計
低遅延を実現するサービス
